2010年3月 世界のマルウェアランキング

この記事をシェア
2010年3月の月間マルウェアランキング結果発表
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年3月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち10.32%を占めています。

トップ10にランクインした脅威の詳細は、前回の順位(前回がランキング圏内であった場合)およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて、本レポートの後半部に示します。レポートの前半部では、その他のセキュリティおよびサイバー犯罪に関連する今月度の出来事を紹介します。

 
2010年3月の結果グラフ
 
2010年3月の脅威動向
 
見ておわかりのように、今月から本レポートの構成を変更しました。変更の理由は、本レポートには脅威のトップ10しか掲載されていないと誤解されることが多かったためです。今月から、トップ10のランキングはレポートの後半部に移動しています。前半部では、3月度に発生したセキュリティやマルウェア、サイバー犯罪関連の主な出来事を見ていきます。
 
ブラックハットSEO:検索結果やTwitterに表示される不正リンク
 
ロシアで発生した凄惨な爆弾テロ事件に便乗し、偽のアンチウイルスソフトウェアなどを配布しようとする手口が3月末に広まりました。具体的には、検索エンジンの検索結果やTwitterに不正なURLを表示して、ユーザーを特定のサイトに誘導しようとします。サンディエゴと南米のESETリサーチチームも一時、この問題の調査に追われました。詳細については、ブログ「Here Come (more of) The Ghouls」「Russian Metro Bombings: Here come the Ghouls」をご覧ください。
 
CanSecWest 2010でのMacハッキング
 

Macユーザー、とりわけベータ公開中のMac用ESET製品に注目している読者の方は、3月にカナダのバンクーバーで開催されたCanSecWestカンファレンスのトピックにも興味を引かれるかもしれません。同カンファレンスでは、脆弱性研究者のCharlie Miller氏が、独自に作成したファジングツール(簡単なPythonスクリプト)を用いて「ソース未公開のApple製品に20個のゼロデイ脆弱性」を見つけたと発表しました。同氏は、問題の詳細をApple(およびMicrosoftやAdobeといった、同氏がファジングを行った製品のベンダー)にただ伝えることはしたくないとして、これら脆弱性の具体的な内容については口をつぐんでいます。その理由について、同氏は次のように述べています。

「われわれ研究者がバグを見つけると、ベンダーが修正する。再び研究者がバグを見つけると、またベンダーが修正する。この繰り返しでは、製品のセキュリティは向上しません。もちろん、この方法でも製品は段階的に改善されていきますが、本当に彼らに求められるのは製品を抜本的に改善することです。そのためには、われわれがバグを1つ1つ報告していても意味がないのです」

ところで、「ファジング」とは何か疑問に思われた読者もいらっしゃるかもしれません。Sutton氏、Greene氏、Amini氏の共著である『Fuzzing: Brute Force Vulnerability Discovery』(Pearson, 2007)という書籍では、ファジングは次のように定義されています。

「想定外の入力をソフトウェアに渡し、その例外処理を検証することにより、ソフトウェアに含まれる欠陥を発見する手法」

ESETのDavid Harleyは、Mac Virusのブログ「CanSecWest: Go West, Young Mac, but Fuzzily」で次のように述べています。

「Miller氏は、簡単なPythonスクリプトでPDFファイルとPowerPointファイルの1ビットを無作為に選択・改変し、そのファイルをアプリケーションに渡す、という手法を採用しているようです。そしてこれを繰り返し、アプリケーションがクラッシュするかどうかを確認します。Miller氏は、Adobe Reader、Apple Preview、Microsoft Power Point、OracleのOpenOfficeをクラッシュさせる個別の方法を1,000近く発見したと主張しています。そして、悪用可能な脆弱性がないかどうか調べたところ、Apple Previewにはそのようなバグが20個、それ以外のアプリケーションには3~4個見つかったとしています」

これを聞いて、脆弱性研究者が裏付け証拠もなしに主張しているだけなのではないか、と思われた方もいるかもしれません。しかしMiller氏は、年次カンファレンスCanSecWestのハッカーコンテスト「Pwn2Own」において、自身が発見した手法により3年連続で課題をクリアすることに成功しています。同氏はSafariのハッキングに成功したことで、賞金1万ドルを獲得しました。このほかには、Halvar Flake、Vincenzo Iozzo、Ralf-Philipp Weinmannの3氏が、Jailbreakと呼ばれるロック解除を行わずにiPhoneをハッキングする攻撃コードを作成し、賞金1万5,000ドルを獲得しています。iPhoneのハッキングでは、そのコード署名の仕組みを回避するために「Return-oriented Programming」という手法が用いられ、iPhoneのSMSデータベースがWebページ経由でわずか数秒のうちに盗み出されました。Flake氏は次のようにコメントしています。

「この攻撃は、iPhoneのサンドボックスから抜け出すことには成功していません。…Appleのセキュリティ対策は決して悪いものではありませんが、それが十分でないのは明らかです。iPhoneのコード署名は寛容すぎるのです」

これは、Apple製品に限ったことではありません。David Harleyは次のように述べます。

「わたしは、Appleのコード署名における寛容さが根本的な問題だとは思いません。iPhoneのコード署名をより厳格にすることはセキュリティの強化に役立つかもしれませんが、理解する必要があるのは、それによってiPhoneのあらゆるセキュリティ問題が完全に解決されるわけではない、ということです。同じくPwn2Ownコンテストで破られたWindows 7のDEP(Data Execution Protection)とASLR(Address Space Layout Randomization)についても同様のことがいえます」

「単なるリスク軽減策に鉄壁の守りを求めてはなりません。適切な防御策は、攻撃者が特別な関心を寄せないかぎりは十分に機能するかもしれませんが、ハッキングコンテストであれ金銭的な利益もたらす犯罪活動であれ、それによって金儲けができるとなれば、いかにすぐれたテクノロジーであろうとも遅かれ早かれ「マジノ線」と同じ運命を辿ることになるのです」

 
スイングするイングランド、流行する「ロンドニング」
 

(ロジャー・ミラーの1960年代のヒット曲「イングランドスイングス」をご存じない方はこちらをご覧ください。)「スインギングロンドン(1960年代のロンドンで流行したファッションやカルチャー)」が現在もスイングしているかどうかはさておき、ここ数年というもの、他人の電子メールやメッセージングサービス/ソーシャルメディアサービス(Facebookなど)のアカウントを乗っ取り、そのアカウント所有者の友人に「休暇中/出張中に強盗にあったから送金してほしい」と依頼する詐欺行為が増加しています。この極めて「ローテク」なハッキング詐欺は、特に419詐欺グループの間で広まっているようです。これらのグループは、どういう理由からか、「(世界一安全というわけではないが銃犯罪が多発しているわけでもない)ロンドンで銃を突きつけられて金を奪われた」と説明することから、この種の詐欺は「ロンドン詐欺」「ロンドニング」と呼ばれることがあります。

この種の詐欺への対策として、David Harleyはブログ「“Londoning”: Mugs and Muggings Revisited」で次のように述べています。

  • 上記のような電子メールは、だれから、どのように送られてきたものであっても、十分に警戒する。
  • 送信者を確認できないかぎりは、決して要請に応じない。
  • 電子メールの内容が匿名的である場合(特に、普段と比べて違和感がある場合)、送り主が本来のアカウント所有者でない可能性に注意する。
  • 「友人」が、詐欺に利用されることの多い方法(Western Unionなど)で送金するように求めてきた場合は、特に注意する。
  • 419詐欺は、凝ったソーシャルエンジニアリングの手法を用いることもあるが、必ずしもハイテクを駆使するわけではない。したがって、ごく一般的な対策を講じていれば、電子メールやソーシャルネットワーキングサイト(Facebookなど)のアカウントが乗っ取られることを防止できる。具体的には、「破られにくいパスワードを使用する」「複数のアカウントに同じパスワードを使用しない」「パスワードを聞き出そうとする行為に注意する」などである。もちろん、絶対確実というわけではないが、これらを徹底することで騙される確率を小さくすることができる。
 
その他のマルウェアとサイバー犯罪
 

3月の初め、ESETのウイルスラボが収集した最新の統計情報をPierre-Marcがブログ「More statistics on infections」で発表しました。

それによると、全世界および米国内の双方において、マルウェアに感染しているPCには平均して3種類のマルウェアファミリーが存在していました。これはつまり、PCがマルウェアに感染している場合、そこからは平均3種類のマルウェアファミリーが検出されるということを意味しています。しかしこの数値は、月を追うごとに緩やかながら着実に減少しています。このことが示唆するのは、マルウェアの背後にいる者たちはマルウェアの機能を集約し、1つのプログラムで複数の動作を行えるようにしているのではないか、ということです。

その一方、中国における平均マルウェアファミリー数は4.5であり、マルウェアの動向は全世界で共通しているわけではない、ということが窺えます。Pierre-Marcは次のように述べています。

「一般的な傾向として、アジアでは、銀行の口座情報を盗み出すマルウェアよりもオンラインゲームのパスワードを盗み出すマルウェアの方が広まっています。通常、後者のマルウェアはほかのマルウェアファミリーによってインストールされ、自分自身で感染を広げることはしません。中国の平均マルウェアファミリー数が米国よりも多いのは、このことが理由であると思われます」

ESETのラボが確認したところでは、1日あたり20万種類以上の不正バイナリファイルが新たに出現しています。Pierre-Marcによると、これは先のブログ記事を読んでいる間に70以上の新種マルウェアが出現している計算になります。なおこれらの数値は、ESETのThreatSense.Netをはじめとするツールに基づいて算出されています。ThreatSense.Netは、ESETのヒューリスティック技術を補完するために、分散コンピューティングによって脅威の情報を収集しています。この機能は、先ごろリリースされたESET製品のバージョン4.2でさらに強化されています。

ブログ「AV Lingo, et al」では、Randy AbramsとDavid Harleyが、マルウェアとアンチマルウェア製品における命名および分類方法についての多数の質問に回答しています。この問題については、より踏み込んだ考察を行っているホワイトペーパーが公開されています。興味のある方は、「The Name of the Dose」「The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic」をご覧ください。Jeff Debrosseは、この問題の典型例をブログ「A bot by another other name…」で取り上げています。この記事では、ESETラテンアメリカのJorge Mieresが投稿したブログ「Que hay de cierto respecto a la botnet Kneber?」をベースに、多くのメディアでは別のものとして扱われているKneberとZeusが実質的には同一のボットネットであることを解説しています。

ブログ「We’re Not Talking Peanuts Here, Folks」では、一連の統計情報に基づき、Craig Johnstonがサイバー犯罪の実際の規模についてコメントしています。Juraj Malchoは、マルウェアにおけるソーシャルエンジニアリングの活用についての記事をCTO Edgeに執筆し、Aryeh Goretskyはブログ「The Return of Jacques Tits」で詐欺的なDNSレジストラについて解説しています。Randy Abrams、Dan Clark、Craig Johnstonは、サイバー犯罪に対する米国の法的措置を国際レベルに拡大することの是非についてそれぞれブログで議論しています(「Carrots, Sticks and Cyber-spies」、「While Rome Burns…」、「Good In Theory, But…」 )。

また本レポートの執筆中には、6月に開催されるサッカーワールドカップに便乗してマルウェアを広めようとする、本格的なものとしてはおそらく初めてのソーシャルエンジニアリングの手口が確認されています。これは、今年初めに公開したホワイトペーパー「2010: Cybercrime Coming of Age」で予想した通りの動きです。

この攻撃ではまず、アフリカの旅行業者Greenlifeを名乗る差出人から電子メールが送られてきます。このメールには、「アフリカで開催される初めてのサッカーワールドカップ」を紹介するGreenlifeの本物のガイドブックを利用したPDFファイルが添付されています。しかし、この添付ファイルにはAdobe Readerの脆弱性を悪用する細工が施されており、2月16日に公開されたパッチ(CVE-2010-0188もご覧ください)が適用されていない場合、そのマシンにマルウェアがインストールされます。

David Harleyは次のように助言しています。

  • OSだけでなく、Adobe製品をはじめとする標的にされやすい各種アプリケーションにも最新のパッチを適用する。
  • 提供元を確認できないPDFファイルや、自ら要求したのではなく相手から一方的に送られてきたPDFファイルには特に注意する。
  • 前述したように、人々の関心を集める出来事(実際の出来事であるかどうかは問わない)は、ソーシャルエンジニアリングやマルウェア配布に利用されやすいことに注意する。
  • 最低限の対策として、アンチウイルスソフトウェアを最新の状態にする。
 
ESETが参加するカンファレンス
 

一般的には「EICARテストファイル」との関連で知られるEICAR(旧European Institute for Computer Antivirus Research: http://www.eicar.org)ですが、実は長年にわたり、マルウェア対策に焦点を当てた大規模なセキュリティカンファレンスを開催しています。第19回となる今年のカンファレンス(5月8日~11日開催)は、アンチマルウェアソフトウェアのテストに関心がある人々にとっては非常に興味深い内容といえそうです。カンファレンス紹介サイトによれば、プレカンファレンスプログラムは、アンチウイルスソフトウェアとアンチウイルスのポリシー評価に関するトピックが中心的なテーマとなっています。

メインカンファレンスでも、テスト問題についての論文が業界関係者から発表されます。ESETからはJan VrabecとDavid Harleyが登壇し、「Real Performance?」と題して(検出テストではなく)パフォーマンステストで広く使用されているモデルについて考察します。またDavid HarleyとPierre-Marc Bureauは、K7のAndrew Lee氏とともに「Perception, Security and Worms in the Apple」と題する論文を発表し、Appleユーザーが徐々に、それ以外のコンピューター・ユーザーと同じセキュリティ脅威にさらされつつあるという事実を説明します。また、Securing Our eCityプロジェクト(こちらをご覧ください)の委託で行われたCERCの調査結果を基に、Macユーザーの意識の変化についても見ていきます。

David Harleyは、Infosec EuropeでもApple製品のセキュリティ問題についての講演を行います(講演タイトルは「Apple, Security And The Power Of Perception」、日時は4月28日13時20分~13時45分、会場はBusiness Strategy Theatre)。ESETブースにも立ち寄る予定ですので、ぜひお声をおかけください(ブースの場所についてはInfosec EuropeのExhibitor Directoryページをご覧ください)。

9月29日~10月1日に開催されるVirus BulletinカンファレンスにもESETのメンバーが多数参加します。Peter Koasinar、Juraj Malcho、Richard Marko、David Harleyによる「AV testing exposed」では、アンチマルウェアテストの専門性について詳しく見ていきます。Pierre-Marc Bureauは、LORIAのJoan Calvet氏とJean-Yves Marion氏、モントリオール理工科大学のJose M. Fernandez氏とともに、「Large-scale malware experiments, why, how, and so what?」と題する講演を行います。David Harleyはまた、Andrew Lee氏と共同執筆した論文「Call of the WildList: last orders for WildCore-based testing?」も発表します。
 
 
マルウェアランキングトップ10の詳細
 
1. Win32/Conficker [全体の約10.32%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。それにもかかわらず、依然として600万台以上のマシンがConfickerに感染しているとConficker Working Groupは推定しています。

 
2. INF/Autorun [全体の約8.42%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
3. Win32/PSW.OnLineGames [全体の約5.15%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
 
4. Win32/Agent [全体の約2.88%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
 
5. INF/Conficker [全体の約1.80%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
6. Win32/Tifaut [全体の約1.49%]
前回の順位:25位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。


エンドユーザーへの影響
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
 
7. VBS/StartPage [全体の約1.22%]
前回の順位:60位
「VBS/StartPage」という名称で検出されるのは、Internet ExplorerをはじめとするWebブラウザーの設定を変更し、そのホームページを広告サイトにリダイレクトする各種のマルウェアです。このタイプの脅威は、感染先PCのデスクトップに広告サイトへのショートカットアイコンを作成することがあります。VBS/StartPageはアジア、特に中国で大流行しており、この脅威が検出された場合、そのPCはほかのマルウェアにも感染している可能性があります。

エンドユーザーへの影響
今日では、マルウェアが自らの存在を明らかにするような活動を行うことは珍しく、その意味でこのマルウェアは旧来型の脅威といえます。しかし、アンチウイルスソフトウェアを定期的に更新していなければ、この種のマルウェアにも感染してしまうことになります。
 
8. Win32/Qhost [全体の約0.93%]
前回の順位:8位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
9. Win32/Pacex [全体の約0.87%]
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。

とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのはいうまでもありません。先ごろ、Pierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”:Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、“The Game of the Name:Malware Naming, Shape Shifters and Sympathetic Magic” by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。

 
10. Win32/AutoRun.PSW.OnlineGames [全体の約0.69%]
前回の順位:85位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。 「PSW.OnlineGames」という名称で検出されるトロイの木馬は、キーロガー機能を備えており(rootkit機能を備える場合もある)、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
この脅威について実施すべき対策は、INF/AutorunおよびWin32/PSW.OnlineGamesとほぼ同じです。それぞれの説明をご覧ください。
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!